testperson

Hi, finde den Fehler: Gruß Jan

Hi, ggfs. könntest du noch überlegen, einen der DCs auf ein anderes Blech zu legen. Damit das mit den Lizenzen weiterhin aufgeht, wäre dann die Überlegung, ob du einen DC + Exchange auf einem "schwächeren" Blech betreibst und den weiteren DC samt Terminalserver auf dem anderen. Falls die Hardware noch nicht da ist, könntest du noch prüfen, ob du nicht mit einer (max.) 16 Core CPU oder zwei (max.) 8 Core CPUs (pro Host) zurecht kommst. Ansonsten: +1 für Standard / Datacenter inkl. GUI. Gruß Jan

Der Microsoft Security Scanner (MSERT.EXE) kann die bekannten Muster jetzt auffinden (Microsoft Exchange Server Vulnerabilities Mitigations – updated March 6, 2021 – Microsoft Security Response Center)

Hi, wenn USB in eine VM soll, dann würde ich immer auf USB Server setzen, die das USB Device dann über Netzwerk in die VM bringen. Ganz gute Erfahrungen haben wir mit den USB / Dongle Servern von SEH und WuT gemacht. Gruß Jan

Hi, der schnellste und einfachste Weg wäre vermutlich: Neue VM aufsetzen, durchpatchen, Exchange Vorbereitungen installieren, Exchange 2016 CU19 + Security Fixes installieren, Exchange / "Rest" konfigurieren, testen, "migrieren", alten Exchange deinstallieren und Server aus dem AD entfernen. Gruß Jan

Dann nimm doch einfach die passende SearchBase: # -SearchBase "CN=Computers,DC=manowi,DC=local -SearchBase $("CN=Computers,{0}" -f $curDomain.DistinguishedName) # OU Firma1 OU Lager OU Rechner -SearchBase $("OU=Rechner,OU=Lager,OU=Firma1,{0}" -f $curDomain.DistinguishedName)

Der Inhalt (HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security) wurde ergänzt: Hier findet sich das PowerShell Script zum Testen: CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub Habe es grade mal auf knapp zehn Systemen getestet und auf einem System gibt es den Ordner "%exchangeinstallpath%\OABGeneratorLog" nicht. Ist das jetzt verdächtig oder durchaus normal?

Hi, $curDomain = Get-ADDomain -Current LocalComputer Get-ADComputer -Filter "Operatingsystem -like '*Server*'" ` -SearchBase $curDomain.DistinguishedName ` -Properties IPv4Address, OperatingSystem, OperatingSystemVersion, DNSHostName | Select-Object IPv4Address, OperatingSystem, OperatingSystemVersion, DNSHostName | Format-Table funktioniert doch prima. Anstatt "Format-Table" am Ende kannst du dann natürlich auch per "Export-Csv" alles in eine CSV schieben. Gruß Jan

OT: Ich werde definitiv mit einem Lächeln ins Wochenende gehen. :)

Hi, sollte es tatsächlich um einen LDAP Abgleich mit AD Connect halten, dann zitiere ich nochmal einen Teil meines Zitates: Ansonsten wirf mal hier (Teams für Schulen (msxfaq.de)) einen Blick drauf. Auf der Seite finden sich - meiner Meinung nach - halt schon genug Besonderheiten und ggfs. auch ein ortsfremder Dienstleister, der scheinbar bereits Erfahrung in diesem Bereich hat. Gruß Jan

Hi, habe den Storage Migration Services noch nie genutzt. Sieht für mich ganz "nett" aus. Bei einem reinen Fileserver wäre je nach Ausgangsituation durchaus ein In-Place 2012 R2 und weiter In-Place auf 2019 denkbar. Alternativ neuen Server aufsetzen und vorbereiten, vom alten Server die Freigaben aus der Registry exportieren. Danach den alten runterfahren, die virtuelle Disk umhängen, dem neuen Server alte IP/Namen geben und Freigaben importieren. (Der Storage Migration Service macht das letztlich nicht viel anders. Da werden die Daten kopiert / gesynced und nicht die virtuelle Disk umgehangen.) Solltest du nicht virtuell unterwegs sein, dann kann ich beim Storage Migration Service nicht helfen. Aber auch hier würde ich das eher händisch machen und bis zum Stichtag immer wieder mit Robocopy syncen und dann , wie oben, switchen. Sofern noch nicht im Einsatz, könnte man jetzt auch über DFS-N nachdenken, um es in Zukunft "noch entspannter" zu haben. Gruß Jan

AD Connect kann AFAIK auch "LDAP". Allerdings mit folgendem Hinweis: (LDAP synchronization with Azure Active Directory | Microsoft Docs)

Luxusproblem.. Wenn ich da so an die Hoster/Agenturen denke, die keine DNS Anpassungen erlauben oder diese dann durchaus hochpreisig umsetzen. ;)

Du musst _vermutlich_ den MX Record für die Domain und nicht die Subdomain setzen. Oder eben den MX der Subdomain checken.

Hast du denn im externen DNS beim Provider(?) den passenden Record für mail. der auf deine öffentliche IP zeigt?

Hi, was sagt denn ein nslookup -q=MX <deine Domain>.<tld> Gruß Jan

Hi, hast du mal die NTFS Rechte der Icons / des Ordners gechecked? Gruß Jan

Hi, ich bin mir bei Chrome nicht sicher und finde auf die Schnelle nichts Muss Chrome nicht noch "beigebracht" werden den "Enterprise Roots", also dem Windows Zertifikatsspeicher zu vertrauen, oder muss zumindest die RootCA in den Trust Store vom Chrome? Gruß Jan

Microsoft: Solarwinds-Hacker sahen Code für Azure, Exchange und Intune | heise online Microsoft: Solorigate attackers grabbed Azure, Intune, Exchange component source code - Help Net Security Microsoft Affirms Solorigate Attackers Saw Azure, Intune and Exchange Source Code -- Redmondmag.com

BTW.: Ist das jetzt die erste "Überraschung" aus dem Solarwinds Hack (Sunburst / Solorigate), wo - laut Berichten - bei Microsoft Teile vom Exchange Source Code abhanden gekommen sind?

Viele Wege führen nach Rom zu TLS 1.2. Selbst TLS 1.3 scheint - Windows-seitig - so langsam in den Startlöchern zu stehen. Die "letzten" Insider Builds machen es zumindest per Default.

Hi, AFAIK (weiterhin) nur durch Erstellen einer neuen VM mit der/den vorhandenen Disk/s. In der Theorie wäre zumindest nichts in VM Version 9.0 drin, was ein "Killer Kriterium" für 9.0 ist: Upgrade virtual machine version in Hyper-V on Windows 10 or Windows Server | Microsoft Docs Dem ist allerdings nichts hinzuzufügen. :) Letztlich wäre das "wieder" eine Frage der Anforderungen und hier ans DR bzw. eben an die RTO / RPO. Das kann dann sicherlich zu Hyper-V Replika führen. Dann sollte i.d.R. aber auch Geld für einen neuen Hyper-V Replica Server da sein. Gruß Jan P.S.: Theoretisch könnte man sich das per PoSh "zusammenklöppeln": Snapshot von "Prod VM" -> Export "Prod VM Snapshot" -> Neue VM_Datum_Uhrzeit in Version 8 mit Export VHDX auf "Replika HyperV" erstellen -> Alte "Replila VM(s)" löschen. ;)

Dafür gibt es die IIS Crypto CLI und bspw. Batch. Das könnte so z.B. per Shutdown Script erledigt werden: IF NOT EXIST C:\install\IISCrypto mkdir C:\install\IISCrypto icacls C:\install\IISCrypto /inheritance:r /grant:r *S-1-5-32-544:(OI)(CI)F /grant:r *S-1-5-18:(OI)(CI)F /grant:r *S-1-5-32-545:(OI)(CI)R /remove:g *S-1-3-0 /T /C /Q icacls C:\install\IISCrypto\* /C /T /RESET /Q xcopy \\<PFAD>\<zu>\IISCryptoCli.exe C:\install\IISCrypto /D /Q /R /Y C:\install\IISCrypto\IISCryptoCli.exe /template best reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SchUseStrongCrypto /T REG_DWORD /D 1 reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SystemDefaultTlsVersions /T REG_DWORD /D 1 reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1 reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SystemDefaultTlsVersions /T REG_DWORD /D 1

BTW.: Nach den Anpassungen, ob Registry oder IIS Crypto, benötigt es einen Reboot.

Hi, in ganz kurz und knapp: Nartac Software - Download Gruß Jan